AP light: On pourrait définir un point d’accès autonome, comme un appareille qui fonctionne indépendamment.

C’est-à-dire, de manière isoler.

Ce qui peut rendre la gestion et le fonctionnement de la radio fréquence, très difficile, quand il y’en a plusieurs…

| En tant qu’admin réseau, c’est à vous de sélectionner et de configurer le canal utilisé, par chaque point d’accès et même d’être en mesure de pouvoir détecter les AP’s qui pourraient interférer.

| Il vous faudra aussi gérer les niveaux de puissance d’émission, afin de vous assurer :

  •  | Que la couverture sans fil est suffisante,
  •  | Qu’elle ne se chevauche pas trop sur les autres
  •  | Et qu’il n’y a pas de trous de couverture, et ce, même lorsqu’un point d’accès tombe en panne.

Une autre difficulté que représente un AP autonome est la gestion de la sécurité des réseaux sans fil.

Car chaque point d’accès autonome gère ses propres politiques de sécurité. Ce qui rend difficile de surveiller le trafic sur d’éventuelles intrusions…

| Alors pour surmonter ces limites, il faut déplacer les fonctions des AP’s vers un équipement central.

AP light

Par exemple, sur le schéma, on voit que les fonctions du point d’accès autonome sont divisées en deux groupes :

  • Les fonctions de gestion, que l’on voit à droite.
    Il s’agit de tout ce qui peut être administré de manière centralisée.

    Ces fonctions peuvent donc être déplacées vers une plate-forme située au centre de l’AP.

  • Et les processus en temps réel, à gauche.
    C’est tout ce qui implique l’envoi et la réception de trame 802.11.
    Le chiffrement des données est aussi géré en temps réel.
    Dans ce processus, l’AP interagit avec les clients sans fil à bas niveau, c’est-à-dire au niveau de la couche MAC.

    Ces fonctions doivent rester le plus proches des clients, c’est-à-dire sur le point d’accès.

Lorsque les fonctionnalités d’un point d’accès autonome sont divisées, l’AP est vue comme un | matériel Legé (AP light) qui ne s’occupe que des trames en temps réel 802.11.

Les fonctions de gestion sont généralement effectuées par un contrôleur LAN sans fil, qu’on retrouve avec les initiales de | « WLC ».

Le point d’accès devient alors | totalement dépendant du WLC, sur :

  • L’authentification des utilisateurs
  • La gestion des politiques de sécurité
  • Et même la sélection des canaux RF et les débits de sortie.

    Ce qui signifie qu’un point d’accès léger ne peut donc pas fonctionner seul. Il est forcément dépendant, quelque part dans le réseau, d’un WLC.

| Alors la seule exception concerne une architecture « FlexConnect », qu’on verra dans la suite du cours.

La faite de diviser les fonctionnalités d’un AP autonome porte le nom | d’architecture MAC divisée.

Les AP’s légères (AP light) doivent démarrer et se lier à un WLC pour prendre en charge les clients sans fil.

On peut voir le WLC comme un hub central qui prend en charge un certain nombre de points d’accès dispersés un peu partout dans le réseau.

Alors comment cette AP légère (AP light) , se lie-t-elleavec un WLC, pour former un point d’accès complet ?

Eh bien, les deux appareils doivent utiliser un | protocole de tunneling entre eux, pour transporter des messages liés à la norme 802.11, mais aussi des données client.

Ces deux appareils, l’AP (AP light) et le WLC, peuvent être situés, aussi bien, sur le même sous-réseau VLAN ou IP, que dans deux sous-réseaux différents.

Le protocole de tunneling, représenté par les initiales de | « CAPWAP », va contrôler et approvisionner les points d’accès sans fil, grâce à l’encapsulation des données entre |   le LAP, qui est l’AP léger (AP light), et WLC, dans de nouveaux paquets IP.

Ces données, qui sont, tunnelisées, peuvent donc être commutées ou acheminées, au travers du le réseau.

Comme on peut le voir sur le schéma, le CAPWAP se compose en fait de deux tunnels bien distincts :

  • On a les Messages de contrôle, qui transporte les échanges, utilisés pour configurer l’AP et gérer son fonctionnement.
    Ces messages sont authentifiés et chiffrés, ce qui permet un transport sécurisé dans le Tunnel.
  • Et on a les Données, qui circulent entre les clients sans fil et leurs points d’accès, auquel ils sont associés.

    Les paquets sont transportés sur le tunnel de données, mais ne sont pas chiffrés par défaut. Lorsque le cryptage des données est activé pour un point d’accès, les paquets sont protégés par le | protocole DTLS (Datagram Transport Layer Security) qui est simplement basé sur le protocole TLS, car il fournit des garanties de sécurité très similaires.

Chaque AP (AP light) et WLC doivent s’authentifier mutuellement, avant de faire partie du réseau sans fil, avec des certificats numériques du type X.509, qui sont préinstallés de base, sur chaque appareil.

Ce processus permet de garantir que personne ne peut ajouter un point d’accès sans autorisation, au réseau.

Le tunneling CAPWAP permet donc à l’AP et au WLC d’être séparés géographiquement.

Ce qui est intéressant dans ce type d’architecture, c’est que la connectivité de couche 2 est brisée entre l’AP et le WLC.

Si on regarde, le schéma, | on peut voir que le vlan 100 existe dans le WLC et aussi dans les airs, avec le « SSID 100 », | mais pas entre l’AP et le WLC.

C’est parce que le Traffic associé au SSID 100 est transporté à travers l’infrastructure réseau, par le tunnel CAPWAP qui a encapsulé les données.

Ce tunnel, qui se situe entre l’adresse IP du WLC et l’IP du point d’accès, permet à tous les paquets tunnelisé, d’être routés à la couche 3

.

.

Il n’y’a donc aucun lien, entre l’AP et le WLC, car le ou les VLAN’s encapsulées sont renfermer dans le tunnel, en tant que paquets IP de couches 3, plutôt que des VLAN individuels de couche 2.

| Et là ou s’est intéressant, contrairement à une architecture qu’avec des points d’accès complet, c’est qu’à mesure que le réseau sans fil se développe et évolue, et bien le WLC construira simplement | + de tunnels CAPWAP, pour atteindre les nouvelles AP !

Comme on peut le voir sur le schéma qui illustre un réseau composé de 3 points LAP.

.

Ici, Chaque AP a son propre tunnel vers le WLC, qui lui est centralisé.

Le SSID 100 peut exister sur chaque AP et le VLAN 100 peut atteindre chaque AP par le tunnel.

.

Nous allons maintenant détailler tous les avantages, comparer à un point d’accès autonome traditionnelle, que peut offrir une architecture, contenant des tunnels CAPWAP. C’est-à-dire, construit à partir d’un WLC vers un ou plusieurs points LAP.

  • On a une attribution dynamique des canaux:
    Le WLC peut automatiquement choisir et configurer le canal RF utilisé par chaque AP, et ce, en se basant sur les autres points d’accès actifs de la zone.
  • On a une optimisation de la puissance d’émission :
    le WLC peut définir automatiquement la puissance d’émission de chaque point d’accès en fonction de la zone de couverture.
  • On a une couverture sans fil autoréparatrice :
    C’est-à-dire que si un point d’accès, ou son antenne radio meurent, c’est-à-dire qu’il tombe en panne, et bien le trou de couverture causé par cette perte, sera « guéri », c’est-à-dire rétabli, par l’augmentation automatique de la puissance de transmission des points d’accès aux alentours.
  • On a aussi une itinérance client très flexible:
    Les clients peuvent se déplacer entre les points d’accès avec des temps d’itinérance très rapides.
  • On a ensuite, de l’équilibrage de charge client dynamique :
    C’est-à-dire, que si deux ou plusieurs points d’accès sont positionnés pour couvrir la même zone géographique, et bien, le WLC pourra associer des clients, au point d’accès le moins utilisé. Ce qui donne l’avantage de répartir la charge client sur les points d’accès.
  • On a de la Surveillance RF:
    Le rôle du WLC est de gérer chaque point d’accès.
    Pour ça, il va balayer les canaux, pour surveiller l’utilisation des radios fréquences.
    Il pourra donc recueillir à distance des informations :
    •  Sur les interférences RF.
    •  Le bruit.
    •  Les signaux des points d’accès voisins
    •  Et les signaux des points d’accès qui ne sont pas autorisés ou bien des clients ad hoc.
  •  | Pour continuer, on à une Gestion de la sécurité :
    C’est-à-dire que le WLC peut authentifier les clients de manière centraliser, et peut même exiger que les clients sans fil, obtiennent d’abord une IP, d’un serveur DHCP de confiance, avant de leur donner la permission de s’associer et d’accéder au WLAN.
  •  | Et pour finir, on a un système de protection contre les intrusions sans fil :
    Le WLC à l’avantage d’avoir un emplacement central, ce qui lui permet de centraliser les données des clients, dans le but de détecter et d’empêcher les activités malveillantes.

Retrouver de nombreuses vidéos de cours sur la chaine Youtube Formip :

Suivez le parcours CCNA sur le site Formip

A lire également

7 conseils pour Passer la Certification CISM

ParDamien Soulages

Vous voulez passer la certification CISM ? Vous êtes à l’affut de conseils pour réussir l’examen ? Vous êtes au bon endroit ! La certification CISM est une norme de réussite du domaine de la gestion de la cybersécurité reconnue dans le monde entier. L’obtention de cette certification demande du temps et du dévouement, mais…

Fonctionnalité IPv6 – En-tête IPv6 – Autoconfiguration

ParDamien Soulages

Fonctionnalité Comparaison des entêtes IPv4 et IPv6 La conception d’entête IPv6 diffère considérablement de l’entête IPv4 de plusieurs façons. Ici nous avons un entête au Format IPv4 : Cet entête contient 14 champs. Le champ « Options » représenté en jaune, est facultatif, et le champ padding, à côté, permet de combler le champ option afin d’obtenir…
|

Contrôleur WLAN et mode AP

ParDamien Soulages

Comparaison de Contrôleur WLAN Contrôleur WLAN : Dans ce cours nous allons comparer plusieurs architectures différentes de contrôleur WLAN. C’est-à-dire le boitier WLC. Imaginez que vous souhaitez déployer un WLC (Contrôleur WAN) pour prendre en charge plusieurs points d’accès LAP dans votre réseau. Où devriez-vous mettre le contrôleur Wifi ? | Ce concept, qui s’appelle…
|

Adressage IP et Masque de sous-réseau : Fiche Résumé

ParDamien Soulages

Adressage IP: Caractéristiques IP Adressage IP: Le protocole IP fait partie de la couche Internet de TCP/IP. Un paquet IP permet de transmettre un message d’une machine à une autre sur un réseau. Hôtes Chaque hôte doit avoir une adresse unique pour pouvoir communiquer sur un réseau IP. Un hôte IP est un périphérique en…
|

NAT PAT: Fiche Résumé

ParDamien Soulages

NAT PAT: Adresses Publiques et Privées NAT PAT : Les Adresses publiques sont utilisées pour se connecter à Internet.Tant dit que les adresses privées sont eux, utilisées en interne pour l’entreprise. Adresse IP privÉe Classe A => 10.0.0.0 – 10.255.255.255Classe B => 172.16.0.0 – 172.31.255.255Classe C => 192.168.0.0 – 192.168.255.255 L’ensemble de ces adresses ne…
|

Serveur DHCP

ParDamien Soulages

DHCP Dynamic Host Configuration Protocole Serveur DHCP : Le service DHCP, permet aux périphériques d’un réseau d’obtenir automatiquement des adresses IP et d’autres informations à partir d’un serveur DHCP.  Ça permet d’automatiser l’affectation des adresses IP, des masques de sous-réseau , des passerelles par défaut et d’autres paramètres de réseau IP. Un fournisseur de services internet, peut, soit :…

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *